Sicherheit von Daten für den Hersteller und Verbraucher
Glebstock / stock.adobe.com
06.02.2018 Seite 1252 0

Informationssicherheit / Cyber Security – Prüfung und Zertifizierung im VDE-Institut

Informationen haben einen hohen Wert für Unternehmen, Behörden sowie Privatpersonen und müssen daher angemessen geschützt werden. Ein vertrauenswürdiger Umgang mit diesen Informationen sowie deren Schutz sind die wesentlichen Ziele der Informationssicherheit. Das VDE-Institut hilft Ihnen dabei, diese Ziele zu erreichen.

Kontakt

Dr. Siegfried Pongratz

Informationssicherheit, IT-Sicherheit oder Cyber Security?

Informationssicherheit ist der Schutz von sensiblen Daten vor Verlust und Manipulation
bluebay2014 / Fotolia

Personenbezogene und sensible Daten können sowohl auf Papier, Rechnern oder auch in Köpfen gespeichert sein. In erster Linie geht es bei der Informationssicherheit um den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Informationssicherheit ist also der Zustand, in dem die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind.

Der Begriff Informationssicherheit statt IT-Sicherheit ist umfassender und wird daher zunehmend verwendet. In einigen Publikationen, wie dem IT-Grundschutz, wird jedoch weiterhin der Begriff "IT-Sicherheit" verwendet. Verschiedene Texte und die Normung werden allerdings sukzessive stärker auf die Betrachtung von Informationssicherheit ausgerichtet. Cyber Security, Cybersecurity, IT Safety oder Information Security sind englische Bezeichnungen und werden ebenfalls sehr häufig verwendet. Vor allem dann, wenn Unternehmen international tätig sind.

Mit VDE-Zertifizierung vor Cyberangriffe schützen

Datenschutz durch VDE-Prüfungen und Zertifizierungen garantiert
Creativa Images / Fotolia

Mit dem Ausbau der Digitalisierung und dem damit einhergehenden Fortschritt der intelligenten Vernetzung im eigenen Zuhause wie auch in der Industrie, wächst das Risiko von Datendiebstahl und Manipulation. Viele Fälle zeigen, wie einfach es für Hacker sein kann, in Smart-Home- und Management-Systeme einzudringen.

Zu den Aufgaben des VDE-Instituts zählen, neben der Implementierung einheitlicher Prüfstandards und der Interoperabilität von Systemen und Techniken, die Prüfung und Zertifizierung der Sicherheit im Bereich des Datenschutzes, der Cyber Security und der Funktionalen Sicherheit. Die Interoperabilität gewährleistet die Kommunikation zwischen unterschiedlichen Herstellern, Geräten und Technologien. Als Grundlage für unsere VDE-Prüfbestimmung dienen der BSI Sicherheitsstandard Common Criteria und der BSI IT-Grundschutz. Diese Standards wurden auf die Anforderungen von Smart-Home-Lösungen konkretisiert und um Aspekte des Datenschutzes erweitert. Damit sind die Prüfungen für den gesamten Smart-Home-Bereich anwendbar, zum Beispiel für Energie, Komfort, Multimedia, Sicherheit oder AAL.

Die Prüfung der Informationssicherheit gliedert sich in folgende Bereiche:

  • Prüfung der Geräte (Kommunikationsgeräte und Gateways)
  • Prüfung der Backend- und Cloud-Systeme
  • Prüfung der Apps für Smartphones und Tablets
  • Sicherheitssoftwaresysteme (für die sichere elektronische Identität zur Authentifizierung)

Hierbei werden die Sicherheitsziele zur Cyber Security im Produkt- und Systemkonzept und in der Implementierung getestet. Die Dokumentation für den Benutzer und die technischen Aspekte des Datenschutzes sind Bestandteil der Prüfung.

Zu den Sicherheitszielen gehören:

  • Schutz der Kommunikation gegenüber Abhören und Manipulation
  • Schutz der Systeme gegenüber unerlaubtem Eindringen,
    - unautorisierter Verwendung, Manipulation
    - und Verlust von Daten
  • Schutz der persönlichen Daten
  • Geschützte Sicherheits-Updates der Systeme

Wir schützen Ihre Smart-Home-Produkte vor Cyber-Angriffen durch den Einsatz modernster Technologien

Smart-Home-Produkte geschützt vor Hackerangriffen
iconimage / Fotolia

Die Informationssicherheitsprüfung

1. Bestätigung zur grundsätzlichen Umsetzung eines IT-Schutzkonzepts.
2. Bestätigung der wirksamen Umsetzung des IT-Schutzes.
3. Bestätigung zur Vollständigkeit der Dokumentation bezüglich IT-Sicherheit.

Prüfung des Datenschutzes

1. Identifikation der Datenschutzrelevanz
2. Prüfung des Datenschutzes entsprechend der
3. Europäische Richtlinie (EU-DS-GVO Datenschutzgrundverordnung)

Funktionale Sicherheit für das vernetzte Zuhause

Gibt es durch die zusätzlichen Kommunikationsmöglichkeiten der Systeme weitere Gefährdungen?

Die Funktionale Sicherheit nach DIN EN 61508-4:2011 und die Funktionale Sicherheit in Produktnormen (z. B. Haushaltsgeräte) geben darüber Aufschluss. Zur Komplettierung der Sicherheitsbetrachtung unterstützen wir Sie auch bei dieser Herausforderung. Erfahren Sie mehr über unsere Dienstleistungen im Bereich der Funktionalen Sicherheit.

Was unterscheidet die Funktionale Sicherheit von der Informationssicherheit?

VDE-Institut prüft und zertifiziert Funktionale Sicherheit
Ryan McVay / Photodisc

Bei der Funktionalen Sicherheit (FuSi - Englisch: „functional safety") geht es darum, durch Automatisierungstechnik sicherzustellen, dass von einem Gerät oder einer Anlage keine Gefahr für Menschen oder Umwelt ausgeht. Diese Art von Sicherheit richtet sich gewissermaßen „vom Gerät nach draußen".

Bei der Informationssicherheit geht es darum, Gefahren abzuwehren, die von außen auf das System einwirken. Es geht also um Dinge wie Schadsoftware oder einen nicht autorisierten Zugriff auf ein System. In beiden Fällen kann die Funktion des Systems beeinträchtigt oder es sogar dazu gebracht werden, nichts oder etwas Falsches zu tun.

Damit ist die Verbindung zwischen beiden Themen hergestellt: Wenn das betrachtete System zum Beispiel eine sicherheitsrelevante Steuerung oder ein Feldgerät in einer Sicherheitseinrichtung ist, dann ist jede Beeinträchtigung seiner Funktion auch gleichzeitig eine der (funktionalen) Sicherheit.

Schützen Sie Ihre Smart Factory mit VDE-Zertifizierung

Im Industriebereich von Büro-IT und Operations-OT prüfen wir die Schnittstellen zwischen Maschinen, den Management- und Bürosystemen sowie zum Internet. Dabei spielt es keine Rolle, ob das Netzwerk nur innerhalb einer Fabrik betrieben wird oder ob externe Kommunikationspartner, wie z. B. Zweigstellen, über das Internet mit diesem Netzwerk verbunden sind. Die Prüfung schließt auch eine Bewertung der Risikoanalyse in Bezug zur Informationssicherheit gemäß IEC 62443 mit ein. Nach erfolgreicher Prüfung erhält der Netzwerkbetreiber das VDE-Zertifikat für Informationssicherheit.

Das geprüfte Netzwerk wird mit Hilfe einer vierstufigen Skala klassifiziert. Nach den vorliegenden Entwürfen zur IEC 62443 wird der Einsatz und die Bestimmtheit, mit dem ein Angriff erwartet wird, mit Hilfe dieser Skala, der sogenannten Security Levels (SL), beschrieben.

  • Security Level 1: Schutz gegen ungewollten, zufälligen Missbrauch.
  • Security Level 2: Schutz gegen gewollten Missbrauch unter Verwendung von einfachen Mitteln, mit niedrigem Aufwand, allgemeinen Fähigkeiten und niedriger Motivation.
  • Security Level 3: Schutz gegen gewollten Missbrauch unter Verwendung von technisch hochentwickelten Mitteln, mit moderatem Aufwand, automatisierungstechnisch spezifischen Fähigkeiten und moderater Motivation.
  • Security Level 4: Schutz gegen gewollten Missbrauch unter Verwendung von technisch hochentwickelten Mitteln, mit erheblichem Aufwand, automatisierungstechnisch spezifischen Fähigkeiten und hoher Motivation.


Im Bereich Informationssicherheit bieten wir Ihnen u.a.folgende VDE-Zertifikate:

Das könnte Sie auch interessieren